PostNuke一款流行的内容管理程序。
PostNuke不正确处理用户提交的url数据,远程攻击者可以利用漏洞以web权限查看系统文件内容。
问题存在于error.php脚本中,由于对PNSVlang会话变量缺少过滤,可导致包含和以web权限查看本地文件,导致敏感信息泄露。
PostNuke PostNuke CMS 0.763
PostNuke PostNuke CMS 0.762
升级到PostNuke 0.764 版本:
<a href=“http://www.postnuke.com/” target=“_blank”>http://www.postnuke.com/</a>